Zoek regelingen op overheid.nl
Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!
Veiligheidsregio Zaanstreek-Waterland

Besluit van het algemeen bestuur van het openbaar lichaam Veiligheidsregio Zaanstreek-Waterland houdende regels omtrent privacy

Wetstechnische informatie

Gegevens van de regeling
OrganisatieVeiligheidsregio Zaanstreek-Waterland
OrganisatietypeRegionaal samenwerkingsorgaan
Officiële naam regelingBesluit van het algemeen bestuur van het openbaar lichaam Veiligheidsregio Zaanstreek-Waterland houdende regels omtrent privacy
CiteertitelPrivacybeleid Veiligheidsregio Zaanstreek-Waterland
Vastgesteld dooralgemeen bestuur
Onderwerpbestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Geen

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Onbekend

Overzicht van in de tekst verwerkte wijzigingen

Datum inwerkingtreding

Terugwerkende kracht tot en met

Datum uitwerkingtreding

Betreft

Datum ondertekening

Bron bekendmaking

Kenmerk voorstel

08-04-2021nieuwe regeling

01-05-2018

bgr-2021-304

A18.03.9a

Tekst van de regeling

Intitulé

Besluit van het algemeen bestuur van het openbaar lichaam Veiligheidsregio Zaanstreek-Waterland houdende regels omtrent privacy

1. Inleiding

1.1. Aanleiding

Door VrZW wordt gewerkt met persoonsgegevens. Deze gegevens worden door VrZW verzameld voor het goed kunnen uitvoeren van haar taken. Personen moeten erop kunnen vertrouwen dat VrZW zorgvuldig en veilig met hun persoonsgegevens omgaat. De ontwikkelingen op het gebied van de gegevensverwerking zijn talrijk. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen en een overheid die steeds meer digitaal gaat werken, stellen andere eisen aan de bescherming van persoonsgegevens en privacy. VrZW is zich hier van bewust en zorgt dat de privacy gewaarborgd blijft door het nemen van maatregelen zoals op het gebied van de informatiebeveiliging, transparantie en gebruikerscontrole. Ook worden niet meer gegevens verzameld dan nodig is voor een bepaald doel.

VrZW legt middels het onderhavige beleid vast dat zij de privacy waarborgt, beschermt en handhaaft.

1.2. Wettelijk kader voor het privacybeleid

Als wettelijk kader voor het opstellen, uitvoeren en handhaven van het privacybeleid van VrZW geldt de Algemene verordening gegevensbescherming (AVG) van het Europees Parlement en de Raad en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

1.3. Verantwoordelijkheid

  • De directeur van VrZW is verantwoordelijk voor het zorgvuldig verwerken van persoonsgegevens door de organisatie en daarmee ook voor het privacybeleid (verwerkingsverantwoordelijke).

  • Het zorgvuldig verwerken van persoonsgegevens is tevens een lijnverantwoordelijkheid. Dit betekent dat alle leidinggevenden ook verantwoordelijkheid dragen voor een zorgvuldige verwerking van persoonsgegevens binnen hun afdeling/team. Leidinggevende zien binnen hun afdeling/team toe op een correcte uitvoering van het privacybeleid.

  • Het zorgvuldig verwerken van persoonsgegevens is verder een verantwoordelijkheid van iedere medewerker van VrZW. Alle medewerkers zijn verplicht zich integer te gedragen. Niet acceptabel is dat door al dan niet opzettelijk gedrag, bij de omgang met persoonsgegevens onveilige situaties ontstaan die leiden tot schade en/of imagoverlies voor de organisatie of voor individuen.

  • De functionaris gegevensbescherming (FG) houdt binnen VrZW toezicht op de toepassing en naleving van de AVG en het privacybeleid. De FG adviseert en rapporteert aan de directeur van VrZW over de verwerking van persoonsgegevens door de organisatie.

1.4. Reikwijdte

Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens door VrZW en verwerkingen van persoonsgegevens die in opdracht van VrZW door externe partijen worden uitgevoerd.

1.5. Doel

Doel van dit privacybeleid is om een zorgvuldige verwerking van persoonsgegevens, die door of namens VrZW wordt gedaan, te garanderen conform de wettelijke bepalingen van de AVG.

1.6. Definities

Voor de toepassing van dit privacybeleid wordt verstaan onder:

  • Persoonsgegevens: Alle gegevens die gaan over mensen en waar een mens als individu kan worden herkend. Het gaat hierbij niet alleen om vertrouwelijke gegevens maar om ieder gegeven dat te herleiden is tot een bepaald persoon. Naast gewone persoonsgegevens kent de AVG ook bijzondere persoonsgegevens zoals godsdienst, politieke opvatting en gezondheid.

  • Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben oftewel degene van wie de persoonsgegevens worden verwerkt.

  • Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

  • Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie (verwerkingsverantwoordelijke).

  • Verwerking: De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen.

    Onder verwerking valt:

    • -

      verzamelen, vastleggen en ordenen;

    • -

      bewaren, bijwerken en wijzigen;

    • -

      opvragen, raadplegen en gebruiken;

    • -

      verstrekken door middel van doorzending;

    • -

      verspreiding of enige andere vorm van ter beschikkingstellen;

    • -

      samenbrengen, met elkaar in verband brengen;

    • -

      afschermen, uitwissen of vernietigen van gegevens.

  • Derde: Ieder ander, niet zijnde de betrokkene, de verwerkingsverantwoordelijke of de verwerker, of enig persoon die onder rechtstreeks gezag valt van de verwerkingsverantwoordelijke, of die door de verwerker gemachtigd is om persoonsgegevens te verwerken.

  • Gegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit wordt ook een Privacy Impact Assessment (PIA) genoemd.

  • Datalek: een inbreuk op de beveiliging van persoonsgegevens, die leidt tot enige ongeoorloofde verwerking daarvan. Hier vallen zowel opzettelijke als onopzettelijke datalekken onder.

  • Profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijk persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

1.7. Uitgangspunten

VrZW gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. VrZW houdt zich hierbij aan de volgende uitgangspunten:

  • Rechtmatigheid, behoorlijkheid en transparantie: Persoonsgegevens worden door VrZW, in overeenstemming met de AVG, op een behoorlijke en zorgvuldige wijze verwerkt. VrZW verstrekt informatie over de verwerking van persoonsgegevens aan betrokkenen, die eenvoudig toegankelijk en bovendien begrijpelijk is, in heldere (niet-juridische) taal.

  • Grondslag en doelbinding: VrZW zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtmatige grondslag verwerkt.

  • Gegevensbeperking: VrZW verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. VrZW streeft naar minimale verwerking van persoonsgegevens. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

  • Bewaartermijn: Persoonsgegevens worden niet langer bewaard dan nodig is. Het (langer) bewaren van persoonsgegevens kan nodig zijn om de taken van VrZW goed uit te oefenen, of om wettelijke verplichtingen na te leven.

  • Integriteit en vertrouwelijkheid: VrZW gaat zorgvuldig om met persoonsgegevens, behandelt deze vertrouwelijk en zorgt voor een passende beveiliging van persoonsgegevens.

  • Delen met derden: In het geval van samenwerking met externe partijen, waarbij sprake is van uitwisseling en/of verwerking van persoonsgegevens, maakt VrZW afspraken over de eisen waar deze gegevensuitwisseling en/of verwerking aan moet voldoen. Deze afspraken voldoen minimaal aan de AVG.

  • Subsidiariteit: Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokkene zoveel mogelijk beperkt.

  • Proportionaliteit: De inbreuk op de belangen van de betrokkenen mag niet onevenredig zijn in verhouding tot en met het doel van de verwerking van hun persoonsgegevens.

  • Rechten van betrokkenen: VrZW honoreert alle rechten van betrokkenen op grond van de AVG.

2. Verwerking van persoonsgegevens

2.1. Rechtmatige grondslag

VrZW verwerkt persoonsgegevens alleen indien aan een van onderstaande voorwaarden is voldaan:

  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

  • de verwerking is noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is, of om op verzoek van betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op VrZW rust;

  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

  • de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van wettelijke verplichtingen die aan VrZW zijn opgedragen;

  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van VrZW of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen dan die belangen.

2.2. Doelbinding

Het verwerken van persoonsgegevens wordt verantwoord. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. Persoonsgegevens die niet expliciet nodig zijn voor de uitvoering van een bepaalde dienst of taak mogen daarom niet worden gevraagd. De persoonsgegevens die rechtmatig zijn verkregen voor een bepaald doel, mogen niet voor andere doelen worden verwerkt.

2.3. Wijze van verwerking

VrZW verwerkt persoonsgegevens in overeenstemming met de AVG, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. Verwerking is alleen toegestaan wanneer het doel niet op een andere manier kan worden bereikt. Persoonsgegevens mogen alleen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen of minder persoonsgegevens hetzelfde doel bereikt kan worden, moet daar voor worden gekozen.

2.4. Doorgifte

VrZW geeft alleen persoonsgegevens door aan landen en/of organisaties buiten de Europese Economische Ruimte (EER) op grond van goedgekeurde afspraken door de Europese Commissie.

2.5. Verwerkersovereenkomst

Wanneer VrZW een andere partij inschakelt om persoonsgegevens te verwerken, wordt er met deze partij een verwerkersovereenkomst afgesloten. Met deze verwerkersovereenkomst wordt onder andere geborgd dat persoonsgegevens worden verwerkt voor het doel waarvoor deze zijn verkregen. In de verwerkersovereenkomst staat het onderwerp en de duur van de gegevensverwerking evenals de aard en het doel daarvan. Verder bevat de verwerkersovereenkomst het soort persoonsgegevens, de categorieën van betrokkenen en rechten en verplichtingen van de verwerkingsverantwoordelijke.

2.6. Verwijdering

VrZW bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel, waar deze oorspronkelijk voor zijn verzameld, worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze persoonsgegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

2.7. Informatiebeveiliging

VrZW zorgt ervoor dat persoonsgegevens worden verwerkt op een manier die een passende beveiliging van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. De beheersmaatregelen hiervoor zijn vastgelegd in het Informatiebeveiligingsbeleid.

3. Rechten van betrokkenen

3.1. Opsomming van rechten

Betrokkenen hebben op grond van de AVG de volgende rechten:

  • Het recht op informatie: Het moet voor betrokkenen duidelijk zijn dat hun persoonsgegevens worden verwerkt op een behoorlijke en transparante manier. VrZW heeft een actieve informatieplicht naar de betrokkenen.

  • Het recht op inzage: Betrokkenen hebben het recht om te kunnen controleren of, en op welke manier, hun persoonsgegevens door VrZW worden verwerkt. Vragen betrokkenen om inzage, dan verzorgt VrZW dit op een duidelijke en begrijpelijke manier.

  • Het recht op vergetelheid: Wanneer betrokkenen toestemming hebben gegeven om hun persoonsgegevens te laten verwerken, hebben zij ook het recht om deze te laten verwijderen.

    VrZW wist de persoonsgegevens van de betrokkenen zonder onredelijke vertraging, op verzoek van de betrokkenen, onder andere indien:

    • -

      persoonsgegevens niet langer nodig zijn voor de doeleinden van de gegevensverwerking;

    • -

      betrokkenen hun toestemming intrekken en er geen andere rechtsgrond voor verwerking is;

    • -

      betrokkenen bezwaar maken tegen de verwerking;

    • -

      de persoonsgegevens onrechtmatig verwerkt zijn.

  • Het recht op gegevensoverdraagbaarheid: Dit recht houdt in dat betrokkenen hun persoonsgegevens van VrZW verkrijgen in gestructureerde, gangbare en leesbare vorm en zij deze gegevens aan een andere partij over kunnen dragen of rechtstreeks laten overdragen, zonder daarbij te worden gehinderd, tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Betrokkenen hebben recht op overdraagbaarheid van alleen door hen zelf verstrekte gegevens.

  • Het recht op rectificatie en aanvulling: Betrokkenen hebben recht op rectificatie van hun betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens.

    VrZW stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

  • Recht van bezwaar: Betrokkenen hebben het recht, vanwege redenen die verband houden met hun specifieke situatie, bezwaar te maken tegen de verwerking van hun persoonsgegevens, als voldaan is aan de in de AVG genoemde eisen. Als de betrokkenen bezwaar maken, staakt VrZW de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

  • Het recht om de verwerking te beperken: Het recht op beperking houdt in dat persoonsgegevens (tijdelijk) niet verwerkt mogen worden. Dit recht kan door betrokkenen worden uitgeoefend in het geval er sprake van een bezwaar is. Het feit dat de verwerking van de persoonsgegevens beperkt is, wordt door VrZW duidelijk in de betreffende registratie aangegeven, zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, wordt de betrokkene hiervan op de hoogte gebracht.

  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering: Betrokkenen hebben het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming, zonder menselijke tussenkomst, wanneer er rechtsgevolgen zijn verbonden aan zo een geautomatiseerd besluit of wanneer het betrokkenen in aanmerkelijke mate treft. Dit is wel mogelijk als:

    • -

      het noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst;

    • -

      het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;

    • -

      het berust op de uitdrukkelijke toestemming van de betrokkene.

3.2. Indienen van een verzoek

Verzoeken van betrokkenen, die te maken hebben met bovengenoemde rechten, kunnen zowel schriftelijk als via e-mail worden ingediend bij de Functionaris Gegevensbescherming (FG) van VrZW. Binnen vier weken, vanaf de ontvangst van het verzoek, beoordeelt VrZW of het verzoek gerechtvaardigd is. Daarna laat VrZW weten wat er met het verzoek gaat gebeuren. Bij veel of ingewikkelde verzoeken mag VrZW de termijn van vier weken, gemotiveerd, met maximaal acht weken verlengen. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken.

4. Plichten van VrZW

4.1. Register van verwerkingen

VrZW is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan zij de verwerkingsverantwoordelijke is. Op grond van de AVG worden minimaal de volgende items opgenomen:

  • de eindverantwoordelijke;

  • de verwerkingsdoeleinden;

  • de categorieën van betrokkenen;

  • de categorieën van te verwerken persoonsgegevens;

  • de categorieën van ontvangers;

  • doorgifte van aan derden;

  • de bewaartermijnen;

  • de technische en organisatorische beveiligingsmaatregelen.

4.2. Gegevensbeschermingseffectbeoordeling

Met een gegevensbeschermingseffectbeoordeling of Privacy Impact Assessment (PIA) worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. VrZW voert deze PIA uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer een grootschalige monitoring van openbaar toegankelijke ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

4.3. Aanwijzen van een functionaris gegevensbescherming (FG)

VrZW wijst een FG aan. Deze functionaris is betrokken bij alle aangelegenheden die verband houden met de AVG. De taken van deze functionaris zijn met name informeren, adviseren, toezicht houden, bewustwording creëren en optreden als contactpersoon voor de AP. Alle afdelingen en teams van VrZW hebben hun eigen verantwoordelijkheid in het juist omgaan met privacygevoelige gegevens. Een nieuwe verwerking van persoonsgegevens wordt altijd eerst aan de FG gemeld voordat deze verwerking begint. De FG houdt het register van verwerkingen bij en is verantwoordelijk voor het structureel toetsen van verwerkingen aan de wettelijke eisen en richtlijnen op het gebied van privacy.

4.4. Meldplicht datalekken

Wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben, is er sprake van een datalek. Wanneer er een datalek heeft plaatsgevonden, meldt de FG dit aan de AP zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen. Als dit later dan 72 uur gebeurt, wordt er een motivering voor de vertraging bij de melding gevoegd. Wanneer de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen, dan meldt de FG dit aan de betrokkenen in eenvoudige en duidelijke taal.

De FG evalueert de datalekken die zijn voorgevallen om in de toekomst datalekken te voorkomen.

4.5. Privacyverklaring

Op basis van de AVG heeft VrZW een informatieplicht. Wanneer betrokkenen hun persoonsgegevens aan VrZW geven, worden zij op de hoogte gesteld van de manier waarop er met deze gegevens om zal worden gegaan. Dit gebeurt door middel van een privacyverklaring op de website van VrZW.

4.6. Afsluiting

Wanneer VrZW haar wettelijke verplichtingen niet nakomt, kunnen betrokkenen een klacht indienen.

Deze zal conform de klachtenregeling van VrZW worden behandeld.

 

Disclaimer:

De beoogde werking van dit privacybeleid is om in grote lijnen inzicht te geven hoe VrZW invulling geeft aan de bescherming van de persoonsgegevens conform de AVG. De belangrijkste aspecten van de AVG zijn daarom in dit privacybeleid samengevat. Vanzelfsprekend is de AVG altijd leidend.